Qu’est-ce qu’un ransomware ? | Avis fiables
Un rançongiciel est un logiciel malveillant qui crypte secrètement les fichiers de votre PC pour tenter de vous forcer à payer la rançon afin d’obtenir la clé de décryptage nécessaire pour retrouver l’accès à votre vie numérique.
Alors que les grandes entreprises et les organisations gouvernementales ont été les cibles les plus connues des attaques de ransomwares, elles affectent également les particuliers. En 2021, les ransomwares ont coûté aux entreprises environ 20 milliards de dollars en 2020.
Les ransomwares se propagent fréquemment via des pièces jointes et des liens malveillants et parfois très ciblés, ainsi que des publicités malveillantes qui téléchargent des logiciels malveillants lorsque vous interagissez avec eux, des téléchargements intempestifs qui téléchargent automatiquement la charge utile et sur les réseaux locaux où une infection s’est installée. Des publicités malveillantes et des téléchargements intempestifs peuvent apparaître sur des sites par ailleurs légitimes.
De nombreuses attaques notoires, telles que celles du groupe Conti, ont volé des données avant de les chiffrer, ce qui a conduit à la diffusion en ligne de données privées. D’autres attaques de rançongiciels reposent sur l’aspect décryptage, laissant ceux qui paient la rançon avec des ordinateurs inutilisables.
Alors que Windows reste la cible la plus populaire, les attaques ont également affecté les systèmes macOS et Linux. Les rançongiciels existent même pour les appareils mobiles et les systèmes embarqués.
Kaspersky Anti-Virus
Protection antivirus essentielle
Notre antivirus classé 5 étoiles bloque les logiciels malveillants et les virus en temps réel et arrête les pirates, maintenant à 50 % de réduction pour seulement 12,49 £
- Kaspersky
- Était 24,99 £
- 12,49 £ par an
Voir l’offre
Sommaire
Un bref historique du chiffrement des rançongiciels
Les ransomwares n’ont pas toujours utilisé le difficile cryptage asymétrique de fichiers complets que nous connaissons aujourd’hui. La première attaque de rançongiciel enregistrée, créée en 1989 et destinée à perturber le travail des chercheurs sur le SIDA, cryptait les noms de fichiers pour empêcher leur accès, rendant le système inutilisable à moins qu’une clé de décryptage de 189 $ ait été achetée auprès du créateur du logiciel malveillant.
En 2005, une famille de virus connue sous le nom de PGPCoder ou GPCode est apparue, des chevaux de Troie qui cryptaient tous les documents et fichiers d’archives qu’ils pouvaient trouver, laissant un fichier texte contenant des instructions pour payer une rançon via des sites de commerce d’or en ligne pour obtenir la clé de décryptage.
Les chercheurs de Kasperksy ont pu identifier le créateur de GPCode sur la base de son adresse IP. Le créateur du malware a en fait contacté la société antivirus et a essayé de lui vendre un outil pour décrypter le malware PGPCoder. Kaspersky a évidemment refusé et, après avoir enquêté sur les systèmes de plusieurs victimes pour résoudre les adresses IP proxy utilisées par le logiciel malveillant pour téléphoner à la maison, a identifié l’emplacement de l’auteur. À ce jour, il n’est pas clair si la police a agi sur la base des informations fournies par Kaspersky. La dernière version connue de GPCode a été publiée en 2010.
Au fur et à mesure que de nouvelles méthodes de paiement sont devenues populaires, les développeurs de ransomwares les ont adoptées. Dans les années 2010, la famille de logiciels malveillants WinLock a utilisé des messages SMS surtaxés pour extraire des rançons bon marché selon les normes modernes d’environ 10 £.
La vulgarisation des crypto-monnaies, en particulier le Bitcoin, créé en 2008, a donné aux criminels une méthode relativement difficile à tracer pour recevoir des paiements de ransomware, et maintenant la majorité des attaques exigent un paiement via une crypto-monnaie.
Selon Europol, le rançongiciel le plus célèbre était peut-être le Wannacry de 2017, utilisé dans une vaste attaque qui a touché quelque 200 000 ordinateurs dans le monde, jusqu’à ce qu’un kill switch soit découvert par le chercheur en sécurité britannique Marcus « MalwareTech » Hutchins.
Nous voyons actuellement des centaines d’attaques de rançongiciels chaque année, et il y a peu de signes que la tendance s’atténue.
Ransomware sans chiffrement
Les rançongiciels sont effrayants, et certains criminels essaient d’utiliser la menace de verrouiller votre PC, de le signaler aux autorités ou de détruire vos fichiers les plus précieux pour extraire une rançon sans rien faire.
Reveton, le « virus de la police » qui affirmait que votre système avait été verrouillé par les autorités locales jusqu’à ce qu’une « amende » soit payée, n’a en fait utilisé qu’une clé de registre pour verrouiller votre système. Le gang responsable de celui-ci a été arrêté par Europol en 2013, mais pas avant d’avoir arnaqué des utilisateurs vulnérables pour plus d’un million d’euros par an.
Pas plus tard que la semaine dernière, un collègue de la sécurité informatique a vu une nouvelle attaque « screen locker » dans le navigateur, mais très ancienne, qui a saisi le focus de la fenêtre et a demandé à l’utilisateur d’appeler « Microsoft » pour obtenir de l’aide, ce qui conduirait évidemment à un fraudeur et « réparation informatique » coûteuse. Le message menaçait de graves conséquences pour le redémarrage… ce qui n’est guère surprenant, étant donné que le redémarrage et l’effacement de tous les onglets de navigateur ouverts étaient tout ce qu’il fallait faire pour se débarrasser de cet irritant particulier. Pour s’assurer que le casier d’écran ne reviendrait pas, le système a fait l’objet d’une analyse antivirus approfondie à l’aide d’outils anti-malware amorçables et installés, et son registre et ses applications de démarrage ont été vérifiés.
Que faire d’un rançongiciel de cryptage suspecté ?
Si vous pensez que vous avez été infecté par un rançongiciel mais que tout n’a pas encore été entièrement crypté, arrêtez ou éteignez immédiatement votre ordinateur. Il est peu probable que le redémarrage empêche vos données d’être cryptées, car le processus de cryptage redémarrera avec votre PC. Analysez le lecteur à la recherche de logiciels malveillants sans démarrer le système d’exploitation, par exemple en utilisant un disque de secours.
Si le disque de secours peut identifier le ransomware, mais pas déchiffrer les fichiers qu’il a verrouillés, tout n’est pas perdu. Les ransomwares sont constamment analysés par des spécialistes de la sécurité. Vos premiers ports d’escale devraient être Emisoft, qui se spécialise dans la création de décrypteurs, et No More Ransom d’Europol, qui vous aidera à identifier votre rançongiciel et à trouver un décrypteur pour celui-ci.
Si vous devez démarrer le système, déconnectez-le de tous les réseaux câblés et sans fil. Cela peut empêcher le ransomware de crypter les lecteurs réseau, l’empêcher de se propager à d’autres appareils du réseau, aider à empêcher le vol de copies de vos fichiers personnels et bloquer les activités secondaires du malware, telles que l’utilisation de votre PC pour l’extraction de crypto-monnaie.
Si votre disque système a déjà été entièrement chiffré et que vous ne pouvez pas le déchiffrer, il vous reste deux choix. Si le disque dur contenait des fichiers vraiment importants ou irremplaçables, vous pouvez le supprimer, l’étiqueter, le stocker dans un endroit sûr et garder un œil sur la sortie d’un décrypteur. Ceux-ci peuvent être rétro-conçus, publiés par des groupes de rançongiciels lorsqu’ils cessent leurs activités, ou même volés et publiés par des chercheurs en sécurité travaillant contre les créateurs de logiciels malveillants, comme dans le cas de la fuite Conti de mars 2022.
Si vous avez conservé des sauvegardes, le moyen de loin le meilleur et le plus rapide de traiter un PC infesté de rançongiciels est de réinstaller le système d’exploitation et de restaurer vos données à partir de sauvegardes.
Si vous êtes au Royaume-Uni, signalez l’attaque au National Cyber Security Centre.
Ne payez pas la rançon. Votre argent soutiendra le crime organisé et il n’y a aucune garantie que vous obtiendrez un jour un décrypteur fonctionnel.
Kaspersky Anti-Virus
Protection antivirus essentielle
Notre antivirus classé 5 étoiles bloque les logiciels malveillants et les virus en temps réel et arrête les pirates, maintenant à 50 % de réduction pour seulement 12,49 £
- Kaspersky
- Était 24,99 £
- 12,49 £ par an
Voir l’offre
Comment se protéger contre les ransomwares ?
- Assurez-vous que votre logiciel antivirus, tel que Microsoft Defender, est à jour.
- Activez la protection contre les rançongiciels dans les paramètres de sécurité de Windows.
- Assurez-vous de conserver des sauvegardes dans au moins deux endroits, dont l’un est hors site (hors de la maison, pour les utilisateurs à domicile). Les services de sauvegarde et de synchronisation dans le cloud sont idéaux pour cela.
- Ne laissez pas votre disque de sauvegarde local branché sur votre PC, sinon son contenu pourrait également être crypté.
- Utilisez le contrôle de version dans votre logiciel de sauvegarde pour vous assurer que, même si vous sauvegardez accidentellement des fichiers après qu’ils ont été chiffrés, une version plus ancienne sera disponible au téléchargement.